Merhaba, bugün bir süredir kafamı kurcalayan bir konuda içimi dökeceğim.
Öncelikle, yazıya konu bazı terimlerin tanımlarına bakalım; uygulamanın güvenliğini artırmak adına zafiyetlerin bulunması, fixlenmesi ve engellenmesi aktivitelerine uygulama güvenliği, yazılım geliştirme süreci denildiğinde herkesin kafasında aynı sürecin canlanmasını sağlayan faz serisine yazılım yaşam döngüsü (SDLC), yaşam döngüsünün güvenlik pratikleri eklenmiş versiyonuna ise güvenli yazılım yaşam döngüsü (Secure SDLC) diyoruz.
Uygulama güvenliği programını da özünde; reaktif ve proaktif unsurların birlikte kullanıldığı, uzun planlama ve tasarımlar yapılarak “Secure” SDLC içerisine konumlandırılan, her şirketin kendi kültürünü ve pratiklerini düşünerek oluşturduğu bir şirket içi program olarak tanımlayabiliriz.
Uygulama güvenliğinin SDLC içerisine konumlandırılması denildiğinde tehdit…
Bugün Trendyol Red Team ekibinin bug bounty platformu arayışı sırasında edindiği ve POC yaptığımız BugCrowd ile yaşadığımız deneyimlerden bahsedeceğim.
Hazırlık
Bug bounty programı başlatmak için yapılması gerekli pek çok hazırlık bulunuyor. Bunların bir kaçını şu şekilde sıralayabiliriz;
- Program kapsamının ve yasaklı aksiyonların çıkarılması
- Yazılım ekipleriyle program hakkında görüşülerek zafiyet çözüm süreleri için el sıkışılması
- Periyodik olarak bulgu durumlarının değerlendirilmesi ve takibi için kanalların (ekip içi ve ekipler arası) oluşturulması
Agile pratikler edinmiş, kalabalık ve sürekli gelişen bir ortamda bu hazırlıkları yapmak beklediğimizden daha zor oldu fakat güvenliğe bakış açısının/farkındalığın gelişmesi açısından bakacak olursak tüm bu yapılanlar içerideki farkındalığı artırmaya yardımcı olduğunu…
Not: Bu yazı, Jeffrey Paul’un 12 Kasım 2020 tarihindeki “ Your Computer Isn’t Yours” adlı makalesinden, mümkün olduğunca fazla insana ulaşmasını gerektiğini düşündüğüm için çevrilmiştir.
Ek (16 Kasım 2020): Apple’ın konu hakkında yapmayı hedeflediği değişiklikleri burada bulabilirsiniz.
Bu hafta bir şeyler oldu, fark ettiniz mi?
Richard Stallman’ın 1997’de tahmin ettiği ve Cory Doctorow’un uyardığı bir şeyler.
macOS’in modern versiyonlarında, aktiviteleriniz loglanmadan ve saklanmadan bilgisayarınızı açmak, eBook okumak ya da yazmak mümkün değil.
Ortaya çıktı ki macOS’in güncel versiyonunda, işletim sistemi Apple’a çalıştırdığınız her program için özel bir hash değeri gönderiyor. …
Merhaba, uzun süredir kişisel blogumda uğraştığım konularla alakalı bir yazı paylaşmadığım için bu sessizliğin sebebini yazmak, nedenleriyle ilgili kendimi ifade etmek istedim.
Beni tanıyanların bileceği üzere; Yaptığım iş konusunda elimden geldiğince objektif olmaya ve teknik veriler üzerinden konuşmaya özen gösteririm. Sanırım internet ortamında kullandığım iletişim araçlarının beni siber güvenlik alanıyla etkileşime sokmasından olacak ki, daha önce hiç kişisel düşüncelerimi kullandığım araçlarda ifade etmedim. Bu yazı bir ilk olacak.
Siber güvenlik üzerine blog yazmaya 2017 yılında başladım. Öncesinde farklı konularda (oyun, kültür, sanat vb.), farklı mecralarda (gazete, kitap, forum vb.) yazdığım yazılar olsa da, 2017 benim için teknik konularda bildiklerimi/öğrendiklerimi insanlara…
Merhaba, Trendyol Security ekibi olarak bu yazımızda MHN üzerinde çalışan sensörlerin nasıl kurulduğunu gösterip bazı sensörler üzerinde testler gerçekleştirecek ve üretilen veri çıktılarına bakacağız.
Honeypot Sensörleri Nasıl Kurulur?
Honeypot sensörleri daha öncesinden tanımlanmış scriptler aracılığı ile hepsi aynı şekilde kuruluma olanak sağlamaktadır. Sensörlerin tanımlanması aşamasında biz test sensörü olarak Ubuntu 14.04 LTS işletim sisteminin temel kurulumunu kullanacağız. Bu test sensörüne SSH ile erişim sağlamamız yeterli olacaktır.
İlk önce uzaktan erişimin sağlayabilmemiz için SSH sunucusunu aktif hale getirmemiz gerekmektedir.
SSH kurulumunu yapıyoruz:
sudo apt-get update && sudo apt-get upgrade && sudo apt-get install openssh-serverSSH servisini başlatıyoruz:
sudo service ssh restartHoneypot sensörlerinin dağıtılabilmesi için…
Merhaba, Trendyol Security ekibi olarak bu yazımızda honeypotlardan ve honeypot kullanarak sistemlerin nasıl korunabileceği konusundan bahsedeceğiz.
Honeypot yazılımları günümüzde oldukça gelişmiş ve yüksek kalitede tehdit istihbaratı sağlar ancak honeypotların geniş alanlarda kullanımı ve esnekliği kullanıcılara çeşitli zorluklar getirir. Yazı içerisinde kullandığımız “Modern Honeypot Network” projesi açık kaynak kodlu olup, uzak ağlarda ve yerel ağ altyapısına hızlı ve kolay kurulum sağlar.
MHN ile devam etmeden önce, Honeypot nedir hızlıca bir göz atalım.
Honeypot Nedir?
Saldırgana veya zararlı bir yazılıma kendisini canlı bir sistem olarak gösteren, üzerinde çeşitli zafiyetlere sahip servisler barındıran, sahte bir sunucu olarak kendini tanıtan, yerel ağ veya dış ağa konumlandırılan…
Merhaba, bu hafta IPS (Intrusion Prevention System) ve IDS (Intrusion Detection System) sistemlerinden bahseceğiz.
Signature Nedir?
IPS ve IDS tanımını yapmadan önce sıkça kullandığımız bir terim olan imza(signature) kavramının ne olduğunu kavrayalım; İmza, IPS ve IDS sistemlerinde bilinen saldırıların tespit edilmesi için hazırlanmış bir kurallar bütünüdür. Bir saldırının tipik özelliklerinin bir kural seti haline getirilmesi sonucu oluşurlar. İmzaların tetikledikleri alarmları dört farklı başlık içinde değerlendirebiliriz. Bunlar sırasıyla True-Positive, True-Negative, False-Positive, False-Negative. False ifadesi zararsız trafiği, True ifadesi zararlı trafiği ifade ederken, Positive ifadesi alarmın tetiklendiğini, Negatif ifadesi ise alarmın tetiklenmediğini ifade eder.
IPS Nedir?
IPS (Intrusion Prevention System), ağ trafiğini inceleyerek üstünde tanımlı olan…
Merhaba, bu hafta son yıllarda web uygulamalarında bir standart haline gelen “JSON Web Tokens” (JWT) konusunu ele aldık.
JWT Nedir?
RFC 7519 standardında da güzelce tanımlandığı üzere; Partiler arasında JSON objeleri olarak güvenli veri alışverişi sağlar. Dijital olarak imzalı olması, JWT’nin güvenilir ve onaylanabilir olmasını sağlıyor. JWT imzalamak için HMAC kullanılabildiği gibi RSA ya da ECDSA algoritmaları da kullanılabilir.
Günümüzde kullanılan en yaygın JWT tokenları, içerisinde barındırdığı verinin bütünlüğünü doğrulayabildiği için imzalı JWT tokenları olarak karşımıza çıkıyor.
Kullanım alanları
JWT’nin en yaygın kullanıldığı senaryo oturum yönetimidir. Kullanıcı uygulamaya giriş yaptığında kendisine bir token verilir. Kullanıcı, tokenın yetkileri doğrultusunda uygulamayı kullanır. …
Merhaba, Trendyol Security ekibi olarak bu hafta yakın zamanda sıkça duyulan ve bilgi kirliliğine uğrayan DDoS terimini ele alıyoruz.
Dağıtık hizmet reddi saldırıları (DDoS), kullanıcıların uygulamaları/servisleri kullanmalarını engellemek amacıyla hizmet vericiye karşı yapılan bir saldırıdır. DoS teriminin başındaki diğer “D”, saldırının birden fazla cihazdan dağıtık olarak yapılmasına atfen kullanılır. DoS aktivitesi internete bağlı tek bir cihaz tarafından hedefe zararlı trafik göndererek yapılırken DDoS, ele geçirilmiş farklı cihazların (botnet) hedefe saldırması ile gerçekleşir.
Bir genelleme yaparsak, DoS ve DDoS saldırılarını üç kategoride değerlendirebiliriz:
Hacim tabanlı saldırılar
UDP, ICMP vb. paketlerin manipülasyonu ile gerçekleştirilir. …
Aynı hesap bilgileriyle birden fazla web sayfasında üyelik alınması sonucunda kullanıcı bilgisini sızdırmayan şirketlerde dahil olmak üzere birçok şirket kullanıcı bilgisini sızdırdığı suçlamasıyla karşı karşıya kalmaktadır. Bilgilerin kendisinden sızmadığını söylemesine rağmen ilgili bilgiler kullanılarak giriş olabildiği için hesapların sanki ilgili şirketten sızdığı yönünde bir algı yaratılmaya çalışılmaktadır. Trendyol Security olarak, geçtiğimiz yıl içerisinde sıklıkla karşılaştığımız bu konu hakkında genel kitleyi bilgilendirmek istedik.
Nedir?
Credential Stuffing konusu uzun zamandır siber güvenlik dünyasında yer edinmiş bir konudur. Öyle ki 2012 yılında Linkedin ve Dropbox, 2013 yılında MySpace gibi büyük ihlallerden sonra bu tekniğe olan ilgi daha da artmıştır. …
